Wannan labarin wani bangare ne na jerin Malware mara Fayil. Duk sauran sassan jerin:
- (muna nan)
A cikin wannan jerin kasidu, muna bincika hanyoyin kai hari waɗanda ke buƙatar ƙaramin ƙoƙari daga ɓangaren hackers. A lokacin baya Mun rufe cewa yana yiwuwa a saka lambar kanta a cikin DDE autofield payload a cikin Microsoft Word. Ta hanyar buɗe irin wannan takaddar da ke maƙala a cikin imel ɗin phishing, mai amfani da rashin hankali zai ba da damar maharin ya sami gindin zama a kwamfutarsa. Koyaya, a ƙarshen 2017, Microsoft wannan madogara na harin DDE.
Gyaran yana ƙara shigarwar rajista wanda ke kashewa Ayyukan DDE a cikin Kalma. Idan har yanzu kuna buƙatar wannan aikin, to zaku iya dawo da wannan zaɓi ta hanyar kunna tsoffin damar DDE.
Koyaya, facin asali ya ƙunshi Microsoft Word kawai. Shin waɗannan lahani na DDE sun wanzu a cikin wasu samfuran Microsoft Office waɗanda kuma za'a iya amfani da su a cikin hare-haren ba-kodi? Ee, tabbas. Misali, zaku iya samun su a cikin Excel.
Daren Rayayyun DDE
Na tuna cewa a ƙarshe na tsaya a bayanin rubutun COM. Na yi alkawari cewa zan same su nan gaba a cikin wannan labarin.
A halin yanzu, bari mu kalli wani mummunan gefen DDE a cikin sigar Excel. Kamar a cikin Word, wasu abubuwan ɓoye na DDE a cikin Excel ba ka damar aiwatar da code ba tare da ƙoƙari mai yawa ba. A matsayina na mai amfani da Kalma wanda ya girma, na saba da filayen, amma ba komai game da ayyuka a cikin DDE ba.
Na yi mamakin sanin cewa a cikin Excel zan iya kiran harsashi daga tantanin halitta kamar yadda aka nuna a kasa:
Shin kun san hakan zai yiwu? Da kaina, ban yi ba
Wannan ikon ƙaddamar da harsashi na Windows yana da ladabi na DDE. Kuna iya tunanin wasu abubuwa da yawa
Aikace-aikace waɗanda zaku iya haɗawa da su ta amfani da ginanniyar ayyukan DDE na Excel.
Kina tunanin abinda nake tunani?
Bari umarnin mu na cikin cell ya fara zaman PowerShell wanda zai zazzagewa kuma ya aiwatar da hanyar haɗin yanar gizo - wannan , wanda muka riga muka yi amfani da shi a baya. Duba ƙasa:
Kawai liƙa ƙaramin PowerShell don lodawa da gudanar da lambar nesa a cikin Excel
Amma akwai kama: dole ne ku shigar da wannan bayanan a sarari a cikin tantanin halitta don wannan dabarar ta yi aiki a cikin Excel. Ta yaya dan gwanin kwamfuta zai iya aiwatar da wannan umarni na DDE daga nesa? Gaskiyar ita ce lokacin da tebur na Excel ya buɗe, Excel zai yi ƙoƙarin sabunta duk hanyoyin haɗin gwiwa a cikin DDE. Saitunan Cibiyar Amincewa sun daɗe suna da ikon kashe wannan ko faɗakarwa yayin sabunta hanyoyin haɗi zuwa tushen bayanan waje.
Ko da ba tare da sabbin faci ba, kuna iya kashe sabunta hanyar haɗin kai ta atomatik a cikin DDE
Microsoft asalin kanta Kamfanoni a cikin 2017 yakamata su kashe sabuntawar hanyar haɗin kai ta atomatik don hana raunin DDE a cikin Kalma da Excel. A cikin Janairu 2018, Microsoft ya fitar da faci don Excel 2007, 2010 da 2013 waɗanda ke kashe DDE ta tsohuwa. Wannan Computerworld ya bayyana duk cikakkun bayanai na facin.
To, menene game da rajistan ayyukan?
Microsoft duk da haka ya watsar da DDE don MS Word da Excel, don haka a ƙarshe ya gane cewa DDE ya fi kama da kwaro fiye da ayyuka. Idan saboda wasu dalilai har yanzu ba ku shigar da waɗannan faci ba, har yanzu kuna iya rage haɗarin harin DDE ta hanyar kashe sabunta hanyoyin haɗin kai ta atomatik da kunna saitunan da ke sa masu amfani don sabunta hanyoyin haɗin gwiwa yayin buɗe takardu da maƙunsar rubutu.
Yanzu tambayar dala miliyan: Idan kun kasance wanda aka azabtar da wannan harin, shin za a ƙaddamar da zaman PowerShell daga filayen Word ko sel na Excel a cikin log ɗin?
Tambaya: Shin an ƙaddamar da zaman PowerShell ta hanyar DDE? Amsa: eh
Lokacin da kuke gudanar da zaman PowerShell kai tsaye daga tantanin halitta na Excel maimakon azaman macro, Windows za ta shiga waɗannan abubuwan (duba sama). A lokaci guda, ba zan iya da'awar cewa zai kasance da sauƙi ga ƙungiyar tsaro don haɗa dukkan ɗigo tsakanin zaman PowerShell, daftarin aiki na Excel da saƙon imel kuma su fahimci inda harin ya fara. Zan dawo kan wannan a cikin labarin ƙarshe a cikin jerin abubuwan da ba a taɓa ƙarewa ba kan malware.
Yaya COM din mu?
A baya Na tabo batun rubutun COM. Sun dace da kansu. , wanda ke ba ka damar wuce lamba, ka ce JScript, kawai a matsayin abu na COM. Amma sai masu satar bayanai suka gano rubutun, kuma hakan ya basu damar samun gindin zama a kwamfutar wanda abin ya shafa ba tare da amfani da kayan aikin da ba dole ba. Wannan daga Derbycon yana nuna ginanniyar kayan aikin Windows irin su regsrv32 da rundll32 waɗanda ke karɓar rubutun nesa a matsayin mahawara, kuma hackers da gaske suna kai harin ba tare da taimakon malware ba. Kamar yadda na nuna a ƙarshe, zaku iya aiwatar da umarnin PowerShell cikin sauƙi ta amfani da rubutun JScript.
Sai ya zama cewa mutum yana da wayo sosai ya sami hanyar gudanar da rubutun COM в Dokar Excel. Ya gano cewa lokacin da ya yi ƙoƙarin saka hanyar haɗi zuwa takarda ko hoto a cikin tantanin halitta, an saka wani kunshin a ciki. Kuma wannan fakitin a hankali yana karɓar rubutun nesa azaman shigarwa (duba ƙasa).
Boom! Wata hanyar sata, shiru don ƙaddamar da harsashi ta amfani da rubutun COM
Bayan binciken lambar ƙananan matakin, mai binciken ya gano ainihin abin da yake kwaro a cikin kunshin software. Ba a yi niyya don gudanar da rubutun COM ba, amma kawai don haɗi zuwa fayiloli. Ban tabbata ko an riga an sami facin wannan raunin ba. A cikin nawa binciken ta amfani da Amazon WorkSpaces tare da Office 2010 da aka riga aka shigar, Na sami damar maimaita sakamakon. Koyaya, lokacin da na sake gwadawa kaɗan daga baya, bai yi aiki ba.
Ina fatan cewa na gaya muku abubuwa masu ban sha'awa da yawa kuma a lokaci guda na nuna cewa hackers na iya kutsawa cikin kamfanin ku ta wata hanya ko makamancin haka. Ko da kun shigar da duk sabbin facin Microsoft, masu hackers har yanzu suna da kayan aiki da yawa don samun gindin zama a cikin tsarin ku, daga VBA macros na fara wannan jerin tare da abubuwan biya na mugunta a cikin Kalma ko Excel.
A cikin labarin ƙarshe (Na yi alkawari) a cikin wannan saga, zan yi magana game da yadda ake samar da kariya mai wayo.
source: www.habr.com